Vypnutí po přihlášení
Zdar,
přemýšlím o takové věci:
Do počítače má díky doméně přístup kde kdo. Navíc se tam dá přistupovat přes vzdálenou plochu. Dostal jsem takový nápad, že kdyby se tam přihlásil někdo, kdo nemá, tak by se počítač vypnul. Mohl by teda udělat i nějaký log o tom, jaký uživatel se tam pokusil přihlásit, ale to už je detail. Jde to udělat nebo existuje třeba už hotová aplikace, která by něco takového uměla?
Předpokládám, že by to nemuselo být složité si to i naprogramovat, ikdyž je to otázka. Program by se umístil do plánovače úloh a vykonal hned po přihlášení. Asi existuje nějaká funkce Windows, která by vypsala jméno uživatele, který se chce přihlásit. Následně by se to jméno zkontrolovalo proti nějakému seznamu povolených uživatelů, do logu by se hodilo jméno uživatele, který se tam hlásí neoprávněně a následně by se spustila funkce pro vypnutí počítače. Tam by asi byla otázka, jestli se taková funkce dá vykonat s jakýmikoli právy, třeba i obyčejného Usera.
Jako nemá tady smysl řešit, že se to má řešit na doméně a různé třeba dobře mířené rady, protože ty nepotřebuju. Mně prostě jde o to, že máme MUSÍME mít trvale puštěné počítače a kromě oprávněných uživatelů oddělení tam mají vzdálený přístup i různí jiní lidé (podpora atp.), kteří by ale měli vždy dát dopředu vědět, že tam polezou. Prostě mám představu, že bych to prostě všem, kteří dopředu nedají vědět a lezou tam i třeba oprávněně natož neoprávněně to pod rukama vypnul, ono by to každého naučilo. 
Nějaké rady, jak to řešit?
???
Tejto vete nerozumiem.
A nechapem ako to chces riesit, kedze uzivatel sa prihlasi do domeny so svojim uctom a dalej sa riadi domenovymi pravidlami (ktore ty riesit nechces)...takze mi nie je jasne ako ho chces ty ovladat.
Tak ja domenam nerozumim. Myslel jsem, ze bych jim dokazal na tom pocitaci vytvorit pres lokalni administratorske opravneni ulohu nebo sluzbu, ktera by dokazala detekovat uzivatele a pripadne mu vypnout PC, at uz prichazi jako uzivatel z domeny nebo z lokalu.
To ale hrozí, že ti někdo při pokusu o vzdálený přístup shodí PC s rozdělanou prací.
Pokiaľ si lokálny admin tak nie je problém, stačí jednoduchý baťák
- prihlasovacie meno nájdeš v %username%
- spravíš if na povolené mená
- pri splnenej podmienke ukončíš skript, v opačnom prípade spustíš shutdown
- hotovo
Môže to byť umiestnené kľudne aj v startup (pri spuštení)
ok, zkusim si s tim pohrat, diky.
Než někomu vypínat PC, by bylo možná jednodušší filtrovat event 131 z RemoteDesktopServices-RdpCoreTS který ty IP nahlašuje a kterým chceš IP odmítnou přistup, ty IP přidáš do black list který budou při pokusu o přihlášení přidány do firewallu a na TC :3390 blokováni.
nechápu - ty jsi na tom pc přihlášený a někdo s doménovými admošskými právy ti tam během toho leze, čímž tě odhlásí a zruší ti práci? pak ten pc samozřejmě vypínačem vypnu, ať nevyžádaný rdp návštěvník táhne.
(přesněji: takto to bylo u w7, w10 už prý zvládají přepínání uživatelů)
pro přístup během práce mají naši it landesk. i tak dají dopředu vědět, protože za takové chování by je management hnal.
a neadmoši nemají ani přístupová práva k rdp na tvůj pc. pokud mají na nějaký pc povolený vzdálený přístup, jako neadmoši tě nemůžou odhlásit.
jestli k vám přes rdp může kdekdo, s prvním ransomwarem od poloúdržbáře si koledujete o zašifrování všech pc v síti.
Ne, behem dne, kdyz tam nekdo pracuje, tak tam nikdo jiny neleze, ale muze tam vlezt odpoledne, kdyz uz tam nikdo nedela. Administrativne je to nastaveny tak, ze pokud nekam nekdo pristupuje, tak to ma nejprve nahlasit, coz se dost casto nedeje. Muzu si stezovat, ze se porusuji stanovene predpisy, ale efekt to ze zkusenosti nema. Kdyz jim to PC vypnu, tak verim, ze priste to "nezapomenou" nahlasit.
wtf? je to firemní pc, ať si tam lezou třeba celé odpoledne i celou noc i celý víkend.
jak chceš adminům zabránit, aby si namapovali disky toho pc?
viděl jsi někdy lansweeper? fak bych to neprožíval.
máme zakázané mít v pc soukromý obsah. tak mám celou knihovnu mp3 na větší sdkartě, trvale zaražené do notebůů.
a ještě jim přepisuju firemní wallpaper brtníčím motivem, to mají za to.
O to nejde. Mne se nejedna o zadne soukrome veci. Ja mam ty PC za oddeleni na starosti, jsou tam nejake dve produkcni aplikace, kazdou servisuje jina externi firma, do toho ty obecne veci dela nase IT oddeleni, proste je toho moc a potrebuju mit prehled kdo co kdy a nekteri lide to chapou, nektere je nutne k tomu pochopeni donutit, tak jsem dostal ten napad, kterym by to mohli i ti mene chapajici dat.
si loguj jejich přihlášení, skriptem do: User Configuration\Policies\Windows Settings\Scripts (Logon/Logoff) ... aby nebyly pochybnosti.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789196(v=ws.11)
jako fajné logovací místo se mi jeví třeba \users\allusers\documents po nastavení práva zápisu pro everyone.